Authentification Multi-facteurs (MFA) avec Cisco DUO

VPN Comptes informatiques

Informations générales sur le système d'authentification multi-facteurs Cisco DUO à la HES-SO//Fribourg

Vous serez invité à activer votre compte DUO la première fois que vous accéderez à vos e-mails, ou au VPN.

Vous pouvez également vous rendre à l'adresse suivante pour démarrer l'activation de Duo : https://go.hefr.ch/duo

Déroulement de l'activation

L'activation du MFA se déroule en quelques étapes simples :

Entrez votre adresse mail (@hefr.ch pour les employé-e-s ou @edu.hefr.ch pour les étudiant-e-s ) et cliquez sur "Next" :

Entrez votre mot de passe et cliquez sur "Log in" :

Une page d'accueil va apparaître, cliquez sur "Next"

Une page proposant l'installation de l'app "Duo Device Health" va apparaître,

cette application n'est pas requise pour l'activation de la double authentification, vous pouvez appuyez sur "Skip for now" :

Vous devez à présent choisir le moyen de vous authentifier,

cette documentation décrit l'utilisation de la manière recommandé "Duo Mobile", mais sachez que toute les options fonctionnent :

A présent, veuillez insérer votre numéro de téléphone en précisant le code du pays,
cliquez en suite sur "Add phone number" :

Une page de confirmation va apparaître, si le numéro entré est le bon,
cliquez sur "Yes, it's correct", sinon "No I need to change it" pour le modifier

Vous devez maintenant télécharger l'application "Duo Mobile" sur votre smartphone :

App Store

Google Play

Une fois l'application téléchargée, vous pouvez l'ouvrir et cliquer sur "Configurer le compte"

Une page "Associer votre compte" va s'ouvrir, cliquez sur "Utiliser un code QR" et scannez le code QR afficher sur l'écran de votre PC :

Une page va s'ouvrir en vous demandant d'enregistrer ce compte,
vous pouvez laisser le nom par défaut (HES-SO//Fribourg) et cliquer sur "Enregistrer"

Vous pourrez par la suite ajouter d'autres facteurs d'authentification tel qu'un deuxième téléphone ou une clef de sécurité. Pour se faire, rendez-vous sur le portail de gestion des périphériques d'authentification.

Suivez ce lien pour consulter le guide d'activation de DUO MFA.

Obtenir de l'aide

Dans un premier temps, consultez la FAQ ci-dessous. Elle couvre les principaux problèmes que vous pouvez rencontrer, et la manière de les résoudre.
Vous pouvez également consulter le site d'aide à l'utilisateur de DUO Security : https://guide.duo.com
Si le problème persiste, vous pouvez ouvrir un ticket au ServiceDesk. Obtenir toutes les informations sur le ServiceDesk

FAQ MFA

Vers la page

L'authentification à deux facteurs ajoute une couche supplémentaire de sécurité à vos comptes en ligne. En vérifiant votre identité à l'aide d'un second facteur (comme votre téléphone ou un autre appareil mobile), vous prévenez toute connexion d'une personne tierce, quand bien même cette dernière connaîtrait votre mot de passe.

Fonctionnement

Saisissez votre nom d'utilisateur et votre mot de passe habituels
Utilisez votre équipement enregistré pour valider votre identité
Connexion sécurisée établie

Une fois que vous avez configuré vos comptes : vous vous connecterez de manière habituelle avec votre nom d'utilisateur, votre mot de passe et utiliserez votre appareil pour confirmer votre identité.

Pas de téléphone mobile ? Vous pouvez également utiliser une ligne fixe (ne pas utiliser le numéro configuré dans Teams), une tablette, ou un jeton matériel. Les systèmes vous permettent de lier de nombreux appareils à votre compte, et vous pouvez ainsi utiliser votre téléphone mobile et une ligne fixe, une ligne fixe et un jeton matériel, deux appareils mobiles différents, etc.

Pourquoi en ai-je besoin ?

Les mots de passe sont de plus en plus faciles à compromettre : ils sont souvent volés, devinés, piratés. Parfois même, une personne tierce peut accéder discrètement à votre compte, sans que vous ne soyez jamais informé de cette connexion non autorisée.

L’authentification à deux facteurs ajoute un second niveau de sécurité, pour sécuriser votre compte même si votre mot de passe a été piraté. Avec cette sécurité, vous recevez immédiatement une alerte (sur votre téléphone) si un autre utilisateur tente de se connecter en utilisant votre compte.

Ce second facteur d'authentification est distinct et indépendant de votre identifiant et de votre mot de passe. Ces systèmes ne peuvent à aucun moment consulter votre mot de passe.

FAQ MFA

Quelles sont les applications concernées par l'authentification multi facteurs Microsoft ?

Les applications liées à votre compte Microsoft M365 (pour les personnes avec une adresse e-mail @hefr.ch et @edu.hefr.ch)
- Outlook
- Teams
- Webmail
Pour certains utilisateurs, l'accès à des systèmes privilégiés (consoles d'administration des systèmes informatiques de l'école)

Quelles sont les applications concernées par l'authentification multi facteurs Cisco DUO ?

La connexion au VPN de l'école (Cisco Anyconnect)
Pour certains utilisateurs, l'accès à des systèmes privilégiés (consoles d'administration des systèmes informatiques de l'école)

À quelle fréquence va-t-on me demander une authentification multi facteurs ?

Pour Microsoft M365 (Outlook, Webmail, Teams)
- Lors de la connexion initiale à votre compte sur un nouveau poste. Cette connexion reste valide pour 90 jours.
- A l'expiration des 90 jours, vous devrez vous réauthentifier avec votre mot de passe et le MFA.
- Lors du changement de votre mot de passe.
- Lorsque vous vous connectez en dehors d'un pays européen
Pour le VPN
- A chaque établissement de la connexion, vous devrez fournir votre mot de passe, et confirmer sur votre téléphone mobile la connexion via l'application DUO Mobile
Pour les systèmes privilégiés
- A chaque ouverture de sessions sur un système privilégié, l'authentification multi-facteurs sera requise

Quelles méthodes de seconde authentification sont supportées ?

Microsoft Authenticator PUSH
Duo PUSH sur l'application mobile DUO Mobile (recommandé)
Authentification par une clef de sécurité
Envoi d'un SMS
Appel sur un numéro de téléphone (ne pas utiliser le numéro configuré dans Teams)
Utilisation d'un code de contournement

Je souhaite obtenir une clef de sécurité. Comment dois-je procéder ?

Les clefs de sécurité sont acquises à titre personnel par le personnel ou les étudiant-e-s
Les modèles Yubikey et Token2 sont recommandés. Ils sont disponibles chez les principaux revendeurs de matériel informatique en Suisse.
- Exemple :
Les clefs de sécurité sont à considérer de façon identique à votre téléphone. Vous devez la conserver sur vous lorsque vous n'êtes pas devant votre ordinateur. Elle n'a pas pour vocation de rester branchée à votre ordinateur sans votre surveillance

Quelles versions d'iOS ou Android sont supportées pour Microsoft Authenticator ?

Apple iPhone : iOS 15 minimum. Les modèles 6s et plus récents, ainsi que les iPhone SE sont supportés
Android : la version 8 ou supérieure est requise

Quelles versions d'iOS ou Android sont supportées pour Cisco DUO Mobile ?

Apple iPhone : iOS 15 minimum. Les modèles 6s et plus récents, ainsi que les iPhone SE sont supportés
Android : la version 11 ou supérieure est requise

Que se passe-t-il si mon téléphone est trop vieux pour l'application DUO Mobile ou Microsoft Authenticator ? Vais-je être bloqué ?

Non vous ne serez pas bloqué. Lors de la phase d'inscription vous pourrez ajouter votre téléphone pour l'authentification par SMS.
Si l'application DUO Mobile ou Microsoft Authenticator n'est pas compatible avec votre téléphone, il vous faudra utiliser l'authentification par SMS, ou à travers une clef de sécurité USB.

Comment puis-je gérer mes différents moyens d'authentification MFA Microsoft Authenticator ?

Le plus simple est de se rendre sur le portail de gestion de vos périphériques à l'adresse https://myaccount.microsoft.com/
Connectez-vous à l'aide de votre 8.8@hes-so.ch et votre mot de passe de l'école
Procédez à l'authentification multi-facteur
Vous pouvez maintenant ajouter, supprimer et renommer vos différents seconds facteurs

Comment puis-je gérer mes différents moyens d'authentification MFA Cisco DUO ?

Le plus simple est de se rendre sur le portail de gestion de vos périphériques à l'adresse https://hefr.login.duosecurity.com/devices
Connectez-vous à l'aide de votre adresse e-mail et votre mot de passe de l'école
Procédez à l'authentification multi-facteur
Vous pouvez maintenant ajouter, supprimer et renommer vos différents seconds facteurs

Durant le processus d'enregistrement Cisco Duo, j'obtiens le message "Code d'inscription non valide" ou mon QR Code a expiré. Que dois-je faire ?

Commencez par vous connecter au portail de gestion de vos périphériques (voir point ci-dessus). Vous devrez procéder à une double authentification par SMS.
Vous trouverez dans la liste votre téléphone portable précédemment enregistré.
Utilisez la fonction "Ajouter un périphérique", puis choisissez "DUO Mobile".
Renseignez votre numéro de téléphone portable, et le code QR vous sera à nouveau présenté. Vous pouvez alors le scanner avec l'application DUO Mobile.

Le service informatique a-t-il accès à mon téléphone via Microsoft Authenticator ou DUO Mobile? Quelles informations sont collectées par l'application ?

Le Service Informatique n'a pas accès à votre téléphone via DUO Mobile. Nous n'apportons ou n'imposons aucune restriction sur votre téléphone
Nous n'avons pas accès à la position de votre téléphone et ne sommes pas capable de le géolocaliser
Les seules informations remontées sur la plateforme DUO ou Microsoft sont la version de votre système ou de votre navigateur internet, et la région géographique dans laquelle le téléphone se trouve lorsqu'une notification Push est acceptée.
Plus d'informations sur DUO Mobile Privacy ou Déclaration de confidentialité Microsoft

J'ai un nouveau téléphone, ou j'ai changé de numéro de téléphone. Je n'arrive plus à activer mon téléphone sur Microsoft ou DUO.

Lorsque vous changez de téléphone, et si vous utilisez le système de sauvegarde d'Apple iOS ou Android, votre compte sera restauré. Pensez à activer la sauvegarde sur Android dans les paramètres de Microsoft Authenticator ou DUO Mobile.
Si votre compte n'a pas été sauvegardé, et que vous ne possédez pas une deuxième méthode d'authentification (comme un second téléphone, une clef de sécurité ou autre), veuillez contacter le ServiceDesk qui pourra vous aider à la réactivation de votre appareil.

Je rencontre des problèmes de synchronisation de mes emails professionnels, contacts, calendriers, .... depuis la mise en service de Microsoft Authenticator. Que puis-je faire ?

Mettre à jour votre appareil et vos applications
Supprimer votre appareil de votre compte Microsoft
Supprimer votre compte dans l'application de messagerie de votre appareil
Configurer le compte